.htaccess实际运用案例之过滤URL特殊字符,防止XSS攻击

最新推荐文章于 2023-02-07 10:16:49 发布
VIP文章 最新推荐文章于 2023-02-07 10:16:49 发布
阅读量5.8k 收藏
点赞数
分类专栏: 网络安全 文章标签: .htaccess
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gongpeng1966/article/details/51132685
版权
一、XSS漏洞发现
    https://localhost/deals//'onmouseover%3d'prompt%28960807%29'bad%3d' XSS: 发送该URL请求会返回一个alert()弹框
    打印接收到的参数、变量
    Array
(
    [ctl] => deals
    [act] =>
    ['οnmοuseοver='prompt(960807)'bad='] =>
)

https://localhost/deals
Array
(
    [ctl] => deals
    [act] =>
)

https://localhost/deals/cid-28
Array
(
    [ctl] => deals
    [act] =>
    [cid] => 28
)


二、XSS解决方案:
1.在apache 中开启重写,将注释去除
#LoadModule rewrite_module modules/mod_rewrite.so
LoadModule rewrite_module modules/mod_rewrite.so

2.找到项目目录权限配置AllowOverride None 为All
<Directory "/xampp/htdocs">
...
    AllowOverride All
...
最低0.47元/天 解锁文章
brain_ning
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Lankecms蓝科中英文双语企业门户V2.0版(伪静态+宽屏LED+模板).rar
03-18
本人在淘宝上购买的蓝科外贸网站源码,正版无漏洞,利用thinkPHP框架,亲测可用,很实用,快速建站。
[CTF].htaccess的使用技巧总结
Y4tacker的博客
05-11 9802
文章目录前言.htaccess什么是htaccess文件简介其他实用指令自定义出错界面SetHandler和ForceTypeAddHandlerAddTypephp_valuephp_flagTrick总结利用404页面文件包含本地文件包含远程文件包含可以利用伪协议htaccess自己解析自己目录下有php文件无php文件文件解析配合一句话木马Cgi执行FastCgi执行利用报错信息写马绕过exif_imagetype()上传.htaccess\号绕过waf\号绕过藏字符参考文章 前言 这周参加了津门杯,
apache的虚拟域名rewrite配置以及.htaccess的使用。
倾城一笑stu
10-20 7647
在web服务器领域,Apache基本上是一统天下的,虽然现在越来越多的人转向nginx的,但是仍然由于apache的高性能以及强大的功能,还是大多数服务器在使用Apache。 apache的安装就先不说了。今天主要来说Apache的虚拟域名功能以及对应的rewrite配置。 配置虚拟域名 啥是虚拟主机呢?就是说把你自己的本地的开发的机子变成一个虚拟域名,比如:你在开发pptv下面的一个项目
.htaccess文件配置理解
徐海洋
02-07 646
.htaccess文件配置理解
配置apache参数策略
从0到1
06-02 848
.htaccess 此文件得放置在/var/www/html数据目录中 AllowOverride all 表示.htaccess文件中得配置都生效 AllowOverride None 表示.htaccess文件中得配置都不生效 options index...
服务器端 url过滤 php,服务器配置URL重写隐藏thinkphp5入口文件
weixin_35336727的博客
03-21 496
如果没配置URL重写规则的情况下,每次访问都要加上index.php,看起来是没这么美观和方便的。例如:http://test.ll00.cn/index.php/index/test/hello本文主要记录Apache、Nginx和IIS配置。Apache配置站点配置:# 将PHP可以访问的文件限制到指定的目录树(http://php.net/manual/zh/ini.core.php#ini...
Apache Rewrite解决问号匹配的写法
11-14 3334
这个问题我用了一个上午终于解决了,需求是这样的:A地址:域名/ProductView.jsp?lClassID=200B地址:域名/goods.php?id=3实现把用户输A地址跳到B地址,就是跳转的功能。原先用我用最常的方法实现如:RewriteRule ^ProductView.jsp?lClassID=200$    goods.php?id=3 [L]看上去是没有问题的,但
php写路由去掉问号,我想使用.htaccess从网址中删除问号&.php扩展名
weixin_32310195的博客
03-19 265
该代码似乎来自我的一个答案:)用以下代码替换您的代码:Options +FollowSymLinks -MultiViews# Turn mod_rewrite onRewriteEngine OnRewriteBase /## don't touch /forum URIsRewriteRule ^forums/ - [L,NC]## hide .php extension snippet# T...
php中用斜杠代替问号,php – 重写url以删除问号并在htaccess中添加斜杠
weixin_32211243的博客
03-10 142
我花了几个小时试图实现我认为很容易的事情.我有http://localhost/testing_url_document/second.php?id = 2并想把它变成http:// localhost / testing_url_document / second / id / 2.我已经实现了删除PHP扩展,但坚持重写网站页面.在htacces中,我遵循以下程序.RewriteEngine O...
.htaccess重定向和url重写详细介绍
01-10
什么是htaccess 概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户...
用ISAPI_Rewrite让IIS也支持如Apache下.htaccessURL重写
10-01
用ISAPI_Rewrite让IIS也支持如Apache下.htaccessURL重写
使Nginx服务器支持.htaccess的方法
01-20
可能很多朋友都常用nginx不支持.htaccess,只有apache才支持.htaccess文件,其实这是错误的看法nginx也是支持.hatccess的哦,下面我来给各位总结一下配置方法。 其实nginx和.htaccess一点关系都没有,只是一大堆人...
Apache服务器中.htaccess文件的实用配置示例集锦
09-10
主要介绍了Apache服务器中.htaccess文件的实用配置示例集锦,囊括了防盗链重定向及强制浏览器下载指定的文件类型等例子,很黄很暴力,需要的朋友可以参考下
在Web/Phpstorm中设置连接FTP(附带:文件比较,上传下载,同步等)
gongpeng1966的专栏
04-16 3542
用SFTP可以安全有效的传输至phpstorm,如果在项目开发中没有修改的文件和别人产生冲突,用这种方式最好不过了。 如果多人合作开发,可能会对同一个文件修改时,再用版本控制器SVN、CVS、GIT等
appserv 配置ahssl
gongpeng1966的专栏
05-10 2976
打开httpd.conf文件,移除注释的行: Include conf/extra/httpd-ahssl.conf LoadModule ssl_module modules/mod_ssl.so ServerName mytsbank.com:80 打开httpd-ahssl.conf,修改如下:   SSLEngine on   ServerName mytsbank.c
apache config httpd.conf file防止目录列表被浏览、敏感目录或文件限制IP访问
gongpeng1966的专栏
04-28 2718
Options FollowSymLinks Includes ExecCGI     #     # AllowOverride controls what directives may be placed in .htaccess files.     # It can be "All", "None", or any combination of the keywords:   
2024-2030全球与中国盐氯化系统市场现状及未来发展趋势.docx
最新发布
04-24
2024-2030全球与中国盐氯化系统市场现状及未来发展趋势
xss .htaccess apache
07-27
针对防止XSS攻击,可以通过在Apache服务器上使用.htaccess文件来进行配置。.htaccess是用于在Apache服务器上设置网站配置的文件。 要防止XSS攻击,您可以添加以下代码到.htaccess文件中: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值